近日,谷歌安全团队发布了严峻警告,指出针对Salesloft Drift平台的安全漏洞导致的攻击不仅局限于Salesforce这一客户管理系统,而是波及所有连接至Drift的第三方集成工具和应用。从最初发现的针对Salesforce实例的攻击事件逐渐扩大,谷歌与安全厂商联合披露,这场以窃取OAuth令牌为核心的攻击活动已经形成大范围数据泄露,影响多家知名科技公司及其客户资源。Salesloft Drift作为一种用于销售加速和客户互动的集成平台,以其高效连接多种线上业务系统的优势被广泛采用。然而,攻击者利用这一平台的身份验证机制展开入侵,劫持了关键的OAuth认证令牌,进而获得对多个受害方Salesforce账号及相关资源的访问权。谷歌威胁情报团队(GTIG)和知名安全机构Mandiant联手发布更新通知,强调所有使用Salesloft Drift的企业必须立即将存储或关联的OAuth令牌视为潜在危害,需要开展彻底的检查与令牌替换。攻击者通过盗取OAuth令牌,成功访问了少数Google Workspace邮件账户,虽然并未直接破坏Google本身的基础设施,但漏洞暴露了第三方应用集成带来的安全隐患。
谷歌特意指出,被攻击的账户仅限于设置了Salesloft集成的用户,攻击者无法横向扩展至同一Workspace内其他账户,这一点显示出多层安全防护仍发挥了关键作用。事件爆发后,谷歌迅速采取措施,通知受影响用户,撤销相关令牌授权,并暂停Google Workspace与Salesloft Drift间的集成功能以阻断风险源头。与此同时,用户被敦促全面审查所有连接至Drift平台的第三方应用,进行访问凭据的撤销和替换,并对各类关联系统进行异常行为排查。攻击主体被归咎于一个代号为UNC6395的黑客集团,该组织自2025年8月初至中旬利用被盗令牌实施大规模数据窃取,目标涵盖多个企业的Salesforce平台。此次攻击不仅曝光了OAuth协议在企业云环境下潜在的安全弱点,也揭示了集成平台带来的复合型风险。受害企业包括网络安全巨头Zscaler和Palo Alto Networks,前者确认自身Salesforce实例被入侵,客户支持案例数据遭窃取,尽管无证据显示数据被滥用,但该事件对客户隐私保护提出严峻挑战。
后者则证实事件仅影响其客户关系管理平台,未波及核心产品服务,同时积极通知部分敏感数据可能受影响的客户。除上述公司外,Cloudflare、PagerDuty、SpyCloud和Tanium等技术企业也陆续确认遭遇Salesloft Drift漏洞波及。Cloudflare更发现内含104条API令牌遭泄露,出于谨慎即刻完成所有令牌更新。身份验证服务提供商Okta的例子尤为说明问题,虽然黑客尝试使用被盗令牌访问其Salesforce环境,但其采用的IP白名单机制和DPoP令牌绑定技术成功防止了入侵,成为本次事件中阻挡攻击的典范。安全专家普遍认为,这场事件暴露了企业在OAuth令牌生命周期管理及第三方集成安全策略上的重大不足。多方建议企业应立即撤销所有可疑令牌,持续监控潜在横向移动迹象,关闭因令牌滥用导致的链式攻击路径。
Astrix Security强调,全面的OAuth令牌管理已成为各大云服务运营商与使用者的当务之急,疏忽管理将为黑客提供便捷入口,造成无法估量的商业和信誉损失。WideField安全团队则提醒,所有与Salesloft Drift OAuth集成相关账户应假定为已被入侵,必须强化监控并审查异常行为。伴随此事件的深入调查,谷歌和相关安全公司正在不断发布更新,揭示更多受影响企业情况及防护建议。此次Salesloft Drift安全漏洞事件无疑成为2025年信息安全领域的重磅警示,提醒全球企业加快完善身份与访问管理体系,特别是第三方应用权限治理和令牌安全,防止类似数据泄露危机再次发生。同时,这也推动了云安全市场在OAuth令牌保护、多因素认证及零信任架构实施方面的变革。企业领导者应从此次教训中汲取经验,借助自动化安全工具、加强员工安全意识培训以及构建灵活的安全响应机制,确保在快速数字化转型进程中,企业资产安全与数据隐私得到全方位保障。
未来,随着云端服务与融合应用的日益复杂,如何有效管理和监控OAuth令牌授权,防范其滥用风险,将成为保障云生态安全的核心课题。此次事件虽然为众多使用Salesloft Drift的平台企业敲响警钟,但它亦激发了安全行业加速创新,推动形成更为严密的云安全防线。有关企业和安全从业者应保持高度警觉,积极落实安全最佳实践,防范未知威胁,实现业务的稳定发展与客户信任的稳固。
